openssl Multidomain SSL Zertifikat / certificate

Laaaaange hab ich gesucht um meiner zweiten Domain und den subs so wie zB. mail.bjoern-krull.de ein SSL selfsigned certificate zu verpassen. Fakt ist, das man auf einem vserver mit nur einer IP auch nur eine Zertifikatsdatei einbinden kann! Die Lösung dazu (funktioniert nur auf neueren Apache Versionen) ist ein Multidomain Zertifikat, welches mehrere CN’s (common Names) enthält!

Ich hab mir das mühsam zusammen gesucht und viel probiert, daher hier ein kleines Howto von mir:Für alle Aktionen muss man sich per SSH als „root“ anmelden, klar oder 😉

Im Ordner /etc/ssl/ findet sich die openssl .cnf, hier sucht man nach [ req_distinguished_name].

Hier verändert man nun:
commonName = Common Name (eg, YOUR name)
commonName_max = 64

in folgendes:
0.commonName = Common Name 1 (eg, YOUR name)
0.commonName_max = 64

1.commonName = Common Name 2 (eg, YOUR name)
1.commonName_max = 64
.
.
… usw.
Je nach dem, wie viele Einträge man halt braucht!

Dann sollte man sich die certXXXXXX (X = Platzhalter) suchen, welche auch in der config des Apache angegeben ist und diese einmal sichern. Beim mir liegt diese in /opt/psa/var/certificates/.
Nun gehen wir in das home-Verzeichnis und erstellen uns einige Dateien!
Den SSL-Key mit 1024bit:
openssl genrsa -des3 -rand /bin/ping:/bin/mail:/bin/bash:/bin/cat -out sslcert.key 1024
Dann Passwort eingeben

Nun das Passwort entfernen:
openssl rsa -in sslcert.key -out sslcert.key
Passwort zur Bestätigung eingeben

CSR Datei erstellen:
openssl req -new -key sslcert.key -out sslcert.csr

Nun muss man seine Eingaben machen:
Country Name (2 letter code) [AU]: DE
State or Province Name (full name) [Some-State]: Germany
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Firmenname
Organizational Unit Name (eg, section) []: Abteilung
Common Name (eg, YOUR name) []: www.domain.tld
Common Name (eg, YOUR name) []: mail.domain.tld
(Wiederholt sich so oft, wie in der openssl.cnf angegeben)
(Wichtig Common Name ist die Name der URL, mit der das SSL Zert. registriert wird!!!)
Email Address []: ansprechpartner@domain.tld
A challenge password []:bleibt frei
An optional company name []: bleibt frei

Und nun machen wir ein Zertifikat draus:
openssl x509 -req -days 365 -in sslcert.csr -signkey sslcert.key -out sslcert.crt

Kontrollieren ob im Verzeichnis eine .key, eine .csr und eine .crt Datei liegen und dann einbinden in die vorher gesicherte Cert-File (Das angegebene Verzeichnis ist ein Beispiel):
cat sslcert.key > /opt/psa/var/certificates/certXXXXXX
cat sslcert.crt >> /opt/psa/var/certificates/certXXXXXX

Nach einem restart des Apache ist das neue Zertifikat eingebunden. Lädt man die .crt noch auf den eigenen PC und bindet diese ein, meckert Outlook nie wieder 😉

9 Gedanken zu „openssl Multidomain SSL Zertifikat / certificate

  1. iKArus

    Für alle Aktionen muss man sich per SSH als “root” anmelden …

    Du nutzt Ubuntu, nutze sudo. 😉

    Ansonsten, jo, schaut gut aus.

  2. TheJester

    Hi,

    ich hab commonName nach deiner anleitung abgeändert und die zertifikatserstellung dann nach dem link auf ubuntuusers.de gemacht (http://wiki.ubuntuusers.de/Apa.....hlight=ssl). aber leider erkennt der firefox nur den zweiten cn als im zertifikat an. eine idee woran das liegen kann? eingegeben hab ich beide domains.

    danke

  3. Krulli Beitragsautor

    Multidomain ist auch eher dafür gedacht, wenn man mehrere Domains auf einem Server hat (also eine IP) und alle Domains per pop3 oder imap abgefragt werden. Ich habe viel probiert um alle domains mit Outlook oder OS X Mail abfragen zu können und damit funktioniert es, für Browser war/ist es nicht gedacht, Sorry, geht aber auch aus dem Post hervor.

  4. TheJester

    Ahhh-haha, okok, sorry, dann hab ich einfach zuviel funktion reininterpretiert… danke, umso mehr, für die hilfe, trotz der themenverfehlung von mir.

    einen schönen tag noch!

    lg

    der hofnarr

  5. Krulli Beitragsautor

    Immer gerne!

    Und warum Hofnarr? Ich bin auch Ewigkeiten durch das Netz geirrt um irgendwas passendes für meine Mails zu finden… Einige Sachen sind halt ziemlich bescheiden gelöst und es ginge besser… nur bis sich dann gewisse Damen und Herren wieder auf Standards geeinigt haben bauen wir Mais auf dem Mars an^^

  6. TheJester

    als ich meinen ersten nickname brauchte war madonnas american pie-cover grad hoch im kurs. und als ich dann das original von don mclean hört und merkte dass sie alles was mit ideenklau wegließ hat mich der teil besonders beeindruckt, weil er vieles schon jahre zuvor vorweggenommenn hat:

    …and the jester sagn for the king and queen,
    in a coat he borrowed from james dean,
    and the voices kame from you and me.
    and while the king was looking down,
    the jester stole his thorny crown,….

    außerdem bin ich ein kleiner witzbold, insofern passts auch wirklich zu mir…

  7. Pingback: Tweets die Krulli's B.log » openssl Multidomain SSL Zertifikat / certificate « erwähnt -- Topsy.com

Kommentar verfassen